Mybatis order by 动态传参出现的问题及解决方法

问题由来

一个简单的需求，要求把和当前用户相关的数据置顶展示。

这里，我用了一个简单的用户表来复现这个需求。

很简单，查询语句后面加上：order by t.login_name='wulaoer' desc 就行了。

如下所示，吴老二就到顶了。

那Mybatis脚本怎么写呢？

就这么写👇🏻

<select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
        select * from user t
        order by t.login_name=#{req.currentUser} desc
    </select>

OK，需求完成，测试，摸……

嗯，出bug了……

问题现场

定晴一看控制台，报错了。

最关键的一行：

java.sql.SQLException: Parameter index out of range (1 > number of parameters, which is 0).

问题分析

问题很简单，随手一查，原因是：

#{}传过来的参数带单引号

#{}采用预编译机制，是占位符，#{}传入参数是以字符串传入，会将SQL中的#{}替换为?号，调用PreparedStatement的set方法来赋值。

这种方式，order by 最后的sql会多加单引号 ' 。

那怎么解决呢？

可以用 ${}。${}是拼接符，直接字符串替换。

 <select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
        select * from user t
        order by t.login_name=${req.currentUser} desc
    </select>

我不想用${}这种方式，因为有sql注入的风险，那该怎么办呢？

好吧，其实主要是这种方式也报错了😓。

java.sql.SQLSyntaxErrorException: Unknown column 'wulaoer' in 'order clause'

我们平时模糊查询怎么写呢？

――使用CONCAT()函数来拼接keyword。

以此类推，那我用一个函数来去掉'不就行了。

那用一个什么函数呢？

――REPLACE

所以写法就变成了这样：

 <select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
        select * from user t
        order by t.login_name=REPLACE(#{req.currentUser},'\'','') desc
    </select>

问题解决

OK，最终问题解决。

<select id="selectUserPageOrder" resultType="cn.fighter3.entity.User">
        select * from user t
        order by t.login_name=REPLACE(#{req.currentUser},'\'','') desc
    </select>

上去吧，吴老二！

问题比较简单，处理起来也是三下五除二，但是分析的过程还有点意思，所以发出来给大家瞧瞧。